计算安全建议

项目
08/29/2024

本文列出了 Microsoft Defender for Cloud 中可能会显示的所有计算安全建议。

环境中显示的建议基于要保护的资源和自定义配置。

若要了解可以针对这些建议采取的操作，请参阅 Defender for Cloud 修正建议。

提示

如果建议的描述中显示“无相关策略”，通常是因为该建议依赖于另一个建议。

例如，建议“应修正 Endpoint Protection 运行状况失败”依赖于建议“应安装 Endpoint Protection 解决方案”，后者检查 Endpoint Protection 解决方案是否已安装。基础建议确实具有一个策略。将策略限制为仅用于基本建议可简化策略管理。

Azure 计算建议

应在计算机中启用自适应应用程序控制以定义安全应用程序

说明：启用应用程序控制，以定义计算机中正在运行的已知安全应用程序列表，并在其他应用程序运行时发出警报。这有助于强化计算机免受恶意软件的侵害。为了简化配置和维护规则的过程，Defender for Cloud 使用机器学习来分析在每台计算机上运行的应用程序，并建议已知安全应用程序的列表。（相关策略：应在计算机中启用用于定义安全应用程序的自适应应用程序控制）。

严重性：高

应更新自适应应用程序控制策略中的允许列表规则

说明：监视为 Defender for Cloud 自适应应用程序控制进行审核而配置的计算机组上的行为更改。 Defender for Cloud 使用机器学习来分析计算机上的运行过程，并建议已知安全应用程序的列表。这些应用程序作为推荐的应用显示，在自适应应用程序控制策略中允许使用。（相关策略：应更新自适应应用程序控制策略中的允许列表规则）。

严重性：高

对 Linux 虚拟机进行身份验证需要 SSH 密钥

虽然 SSH 本身提供加密连接，但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。通过 SSH 对 Azure Linux 虚拟机进行身份验证时，最安全的方法是使用公钥-私钥对，也称为 SSH 密钥。有关详细信息，请参阅详细步骤：创建和管理用于 Azure 中 Linux VM 的身份验证的 SSH 密钥。（相关策略：审核未使用 SSH 密钥进行身份验证的 Linux 计算机）。

严重性：中等

自动化帐户变量应加密

说明：存储敏感数据时，请务必启用自动化帐户变量资产加密。（相关策略：应对自动化帐户变量进行加密）。

严重性：高

应为虚拟机启用 Azure 备份

说明：使用 Azure 备份来保护 Azure 虚拟机上的数据。 Azure 备份是一种 Azure 原生且经济高效的数据保护解决方案。它可创建恢复点，这些恢复点存储在异地冗余的恢复保管库中。从恢复点还原时，可以还原整个 VM，也可以仅还原特定的文件。（相关策略：应为虚拟机启用 Azure 备份）。

严重性：低

（预览版）Azure Stack HCI 服务器应满足安全核心要求

说明：确保所有 Azure Stack HCI 服务器都满足安全核心要求。（相关策略：应在计算机上安装来宾配置扩展 - Microsoft Azure）。

严重性：低

（预览版）Azure Stack HCI 服务器应一致地强制实施应用程序控制策略

说明：至少在所有 Azure Stack HCI 服务器上以强制模式应用 Microsoft WDAC 基本策略。应用的 Windows Defender 应用程序控制 (WDAC) 策略必须在同一群集中的服务器之间保持一致。（相关策略：应在计算机上安装来宾配置扩展 - Microsoft Azure）。

严重性：高

（预览版）Azure Stack HCI 系统应具有加密卷

说明：使用 BitLocker 加密 Azure Stack HCI 系统上的 OS 和数据卷。（相关策略：应在计算机上安装来宾配置扩展 - Microsoft Azure）。

严重性：高

应安全配置容器主机

说明：修复安装了 Docker 的计算机上安全配置设置中的漏洞，使它们免受攻击。（相关策略：应修正容器安全配置中的漏洞）。

严重性：高

应启用 Azure 流分析的诊断日志

说明：启用日志并将其保留长达一年的时间。这样便可以在发生安全事件或网络遭泄露时，重新创建活动线索用于调查目的。（相关策略：应启用 Azure 流分析中的诊断日志）。

严重性：低

应启用 Batch 帐户的诊断日志

说明：启用日志并将其保留长达一年的时间。这样便可以在发生安全事件或网络遭泄露时，重新创建活动线索用于调查目的。（相关策略：应启用 Batch 帐户中的诊断日志）。

严重性：低

应启用事件中心内的诊断日志

说明：启用日志并将其保留长达一年的时间。这样便可以在发生安全事件或网络遭泄露时，重新创建活动线索用于调查目的。（相关策略：应启用事件中心内的诊断日志）。

严重性：低

应启用逻辑应用的诊断日志

说明：若要确保在发生安全事件或遭到入侵时，可以重新创建活动线索以进行调查，请启用日志记录。如果诊断日志不会发送到 Log Analytics 工作区、Azure 存储帐户或 Azure 事件中心，请确保已将诊断设置配置为将平台指标和平台日志发送到相关目标。若要了解详细信息，请参阅“创建诊断设置以将平台日志和指标发送到不同目标”。（相关策略：应启用逻辑应用中的诊断日志）。

严重性：低

应启用服务总线的诊断日志

说明：启用日志并将其保留长达一年的时间。这样便可以在发生安全事件或网络遭泄露时，重新创建活动线索用于调查目的。（相关策略：应启用服务总线中的诊断日志）。

严重性：低

应当启用虚拟机规模集中的诊断日志

说明：启用日志并将其保留长达一年的时间。这样便可以在发生安全事件或网络遭泄露时，重新创建活动线索用于调查目的。（相关策略：应启用虚拟机规模集中的诊断日志）。

严重性：高

应在虚拟机规模集上解决 Endpoint Protection 运行状况问题

说明：在虚拟机规模集上，修复终结点保护健康状况故障，使其免受威胁和漏洞的侵害。（相关策略：应在虚拟机规模集上安装终结点保护解决方案）。

严重性：低

应在虚拟机规模集上安装 Endpoint Protection

说明：在虚拟机规模集上安装终结点保护解决方案，以保护它们免受威胁和漏洞的影响。（相关策略：应在虚拟机规模集上安装终结点保护解决方案）。

严重性：高

应在计算机上启用文件完整性监视

说明：Defender for Cloud 已识别出缺少文件完整性监视解决方案的虚拟机。若要监视服务器上对关键文件、注册表项等的更改，请启用文件完整性监视。启用文件完整性监视解决方案后，创建数据收集规则以定义要监视的文件。若要定义规则，或查看具有现有规则的计算机上更改的文件，请转到文件完整性监视管理页。（无相关策略）

严重性：高

应在受支持的 Linux 虚拟机规模集上安装来宾证明扩展名

说明：在受支持的 Linux 虚拟机规模集上安装来宾证明扩展，使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。安装后，将通过远程证明来证明启动完整性。此评估仅适用于已启用受信任启动的 Linux 虚拟机规模集。

受信任启动要求创建新的虚拟机。
如果现有的虚拟机在最初创建时未配置受信任启动，则无法在其上启用受信任启动。

详细了解 Azure 虚拟机的受信任启动。（无相关策略）

严重性：低

应在受支持的 Linux 虚拟机上安装来宾证明扩展名

说明：在受支持的 Linux 虚拟机上安装来宾证明扩展，使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。安装后，将通过远程证明来证明启动完整性。此评估仅适用于已启用受信任启动的 Linux 虚拟机。

受信任启动要求创建新的虚拟机。
如果现有的虚拟机在最初创建时未配置受信任启动，则无法在其上启用受信任启动。

详细了解 Azure 虚拟机的受信任启动。（无相关策略）

严重性：低

应在受支持的 Windows 虚拟机规模集上安装来宾证明扩展名

说明：在受支持的 Linux 虚拟机规模集上安装来宾证明扩展，使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。安装后，将通过远程证明来证明启动完整性。此评估仅适用于已启用受信任启动的虚拟机规模集。

受信任启动要求创建新的虚拟机。
如果现有的虚拟机在最初创建时未配置受信任启动，则无法在其上启用受信任启动。

详细了解 Azure 虚拟机的受信任启动。（无相关策略）

严重性：低

应在受支持的 Windows 虚拟机上安装来宾证明扩展名

说明：在受支持的 Linux 虚拟机上安装来宾证明扩展，使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。安装后，将通过远程证明来证明启动完整性。此评估仅适用于已启用受信任启动的虚拟机。

受信任启动要求创建新的虚拟机。
如果现有的虚拟机在最初创建时未配置受信任启动，则无法在其上启用受信任启动。

详细了解 Azure 虚拟机的受信任启动。（无相关策略）

严重性：低

应在计算机上安装来宾配置扩展

说明：若要确保安全配置计算机的来宾内设置，请安装来宾配置扩展。该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。安装后，来宾内策略将可用，如应启用 Windows 攻击防护。（相关策略：虚拟机应有来宾配置扩展）。

严重性：中等

（预览版）主机和 VM 网络应在 Azure Stack HCI 系统上受保护

说明：保护 Azure Stack HCI 主机网络和虚拟机网络连接上的数据。（相关策略：应在计算机上安装来宾配置扩展 - Microsoft Azure）。

严重性：低

在虚拟机上安装 Endpoint Protection 解决方案

说明：在虚拟机上安装终结点保护解决方案，以保护其免受威胁和漏洞的侵害。（相关策略：监视 Azure 安全中心中缺少的终结点保护）。

严重性：高

Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost

说明：默认情况下，虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密；临时磁盘和数据缓存不加密，数据在计算和存储资源之间流动时不加密。请使用 Azure 磁盘加密或 EncryptionAtHost 对所有这些数据进行加密。访问托管磁盘加密选项概述，以比较加密产品/服务。此策略需要将两个先决条件部署到策略分配范围。（相关策略：[预览]：Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost）。

替换旧建议“虚拟机应加密计算和存储资源之间的临时磁盘、缓存和数据流”。通过此建议，可以审核 VM 加密符合性。

严重性：高

Linux 虚拟机应强制实施内核模块签名验证

说明：为了帮助减少在内核模式下执行恶意或未经授权的代码，请在支持的 Linux 虚拟机上强制实施内核模块签名验证。内核模块签名验证可确保只允许运行受信任的内核模块。这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。（无相关策略）

严重性：低

Linux 虚拟机应仅使用已签名且受信任的启动组件

说明：启用安全启动后，所有 OS 启动组件（启动加载程序、内核、内核驱动程序）都必须由受信任的发布者签名。 Defender for Cloud 已识别一个或多个 Linux 虚拟机上不受信任的 OS 启动组件。若要保护计算机免受潜在恶意组件的攻击，请将它们添加到你的允许列表，或删除已识别的组件。（无相关策略）

严重性：低

Linux 虚拟机应使用安全启动

说明：若要防止安装基于恶意软件的 rootkit 和启动工具包，请在受支持的 Linux 虚拟机上启用安全启动。安全引导可确保仅允许运行已签名的操作系统和驱动程序。这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。（无相关策略）

严重性：低

应在基于 Linux 已启用 Azure Arc 的计算机上安装日志分析代理

说明：Defender for Cloud 使用 Log Analytics 代理（也称为 OMS）从 Azure Arc 计算机收集安全事件。若要在所有 Azure Arc 计算机上部署代理，请遵循修正步骤。（无相关策略）

严重性：高

随着在 Defender for Servers 中逐步淘汰 AMA 和 MMA 的使用，依赖这些代理的建议将被删除，如下所示。 Defender for Servers 功能将使用 Microsoft Defender for Endpoint 代理或无代理扫描，不再依赖于 MMA 或 AMA。

预计弃用时间：2024 年 7 月

应在虚拟机规模集上安装 Log Analytics 代理

说明：Defender for Cloud 从 Azure 虚拟机 (VM) 收集数据，以监视安全漏洞和威胁。数据是使用 Log Analytics 代理收集的，该代理以前称为 Microsoft Monitoring Agent (MMA)，它从计算机中读取各种安全相关的配置和事件日志，然后将数据复制到工作区以用于分析。如果 VM 由 Azure 托管服务（如 Azure Kubernetes 服务或 Azure Service Fabric）使用，那么也需要执行该过程。无法为 Azure 虚拟机规模集配置代理的自动预配。若要在虚拟机规模集（包括 Azure Kubernetes 服务和 Azure Service Fabric 等 Azure 托管服务使用的规模集）上部署代理，请按照修正步骤中的过程操作。（相关策略：应在虚拟机规模集上安装日志分析代理，用于 Azure 安全中心监视）。

预计弃用时间：2024 年 7 月

严重性：高

应在虚拟机上安装 Log Analytics 代理

说明：Defender for Cloud 从 Azure 虚拟机 (VM) 收集数据，以监视安全漏洞和威胁。数据是使用 Log Analytics 代理收集的，该代理以前称为 Microsoft Monitoring Agent (MMA)，它从计算机中读取各种安全相关的配置和事件日志，然后将数据复制到 Log Analytics 工作区以用于分析。如果 VM 由 Azure 托管服务（如 Azure Kubernetes 服务或 Azure Service Fabric）使用，则也需要此代理。建议配置自动预配来自动部署代理。如果你选择不使用自动预配，请使用修正步骤中的说明将代理手动部署到 VM。（相关策略：应在虚拟机上安装日志分析代理，用于 Azure 安全中心监视）。

预计弃用时间：2024 年 7 月

严重性：高

应在基于 Windows 已启用 Azure Arc 的计算机上安装日志分析代理

说明：Defender for Cloud 使用 Log Analytics 代理（也称为 MMA）从 Azure Arc 计算机收集安全事件。若要在所有 Azure Arc 计算机上部署代理，请遵循修正步骤。（无相关策略）

严重性：高

预计弃用时间：2024 年 7 月

应安全配置计算机

说明：修复计算机上安全配置的漏洞，以保护其免受攻击。（相关策略：应修正计算机上安全配置中的漏洞）。

此建议可帮助你改善服务器安全状况。 Defender for Cloud 通过提供由 Microsoft Defender 漏洞管理提供支持的安全基线来增强 Center for Internet Security (CIS) 基准。

严重性：低

应重启计算机以应用安全配置更新

说明：若要应用安全配置更新并防范漏洞，请重新启动计算机。这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。（无相关策略）

严重性：低

计算机应具有漏洞评估解决方案

说明：Defender for Cloud 定期检查连接的计算机，以确保它们正在运行漏洞评估工具。使用此建议部署漏洞评估解决方案。（相关策略：应在虚拟机上启用漏洞评估解决方案）。

严重性：中等

计算机应已解决漏洞结果

说明：解决虚拟机上漏洞评估解决方案的发现。（相关策略：应在虚拟机上启用漏洞评估解决方案）。

严重性：低

应通过即时网络访问控制来保护虚拟机的管理端口

说明：Defender for Cloud 已确定一些对网络安全组中的管理端口过于宽松的入站规则。启用实时访问控制，以保护 VM 免受基于 Internet 的暴力攻击。有关详细信息，请参阅了解实时 (JIT) VM 访问。（相关策略：应通过即时网络访问控制来保护虚拟机的管理端口）。

严重性：高

应启用 Microsoft Defender for Servers

说明：适用于服务器的 Microsoft Defender 可为服务器工作负载提供实时威胁防护，并生成强化建议以及有关可疑活动的警报。可以使用此信息快速修复安全问题，并提高服务器的安全性。

修正此建议将导致对服务器的保护产生费用。如果此订阅中没有任何服务器，则不会产生任何费用。如果将来在此订阅中创建任何服务器，它将自动受到保护，届时将开始计费。有关详细信息，请参阅适用于服务器的 Microsoft Defender 简介。（相关策略：应启用用于服务器的 Azure Defender）。

严重性：高

应在工作区上启用 Microsoft Defender for Servers

说明：适用于服务器的 Microsoft Defender 带来了适用于 Windows 和 Linux 计算机的威胁检测和高级防护功能。如果订阅上启用了此 Defender 计划，但工作区上未启用，则需要为适用于服务器的 Microsoft Defender 的全部功能付费，但会错过某些权益。在工作区上启用了适用于服务器的 Microsoft Defender 时，向该工作区报告的所有计算机都将为适用于服务器的 Microsoft Defender 付费，即使它们位于未启用 Defender 计划的订阅中。除非还在订阅上启用了适用于服务器的 Microsoft Defender，否则这些计算机将无法利用实时 VM 访问、自适应应用程序控制和 Azure 资源的网络检测。有关详细信息，请参阅适用于服务器的 Microsoft Defender 简介。（无相关策略）

严重性：中等

应在受支持的 Windows 虚拟机上启用安全启动

说明：在受支持的 Windows 虚拟机上启用安全启动，以减少对启动链的恶意和未经授权的更改。启用后，只允许运行受信任的启动加载程序、内核和内核驱动程序。此评估仅适用于已启用受信任启动的 Windows 虚拟机。

受信任启动要求创建新的虚拟机。
如果现有的虚拟机在最初创建时未配置受信任启动，则无法在其上启用受信任启动。

详细了解 Azure 虚拟机的受信任启动。（无相关策略）

严重性：低

Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign

说明：Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别（无、签名和 EncryptAndSign）。请设置保护级别，确保节点到节点的所有消息经过加密和数字签名。（相关策略：Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign）。

严重性：高

Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证

说明：只使用 Service Fabric 中的 Azure Active Directory 进行客户端身份验证（相关策略：Service Fabric 群集应只使用 Azure Active Directory 进行客户端身份验证）。

严重性：高

应在虚拟机规模集上安装系统更新

说明：安装缺少的系统安全更新和关键更新，保护 Windows 和 Linux 虚拟机规模集。（相关策略：应在虚拟机规模集上安装系统更新）。

由于 Azure Monitor 代理 (AMA) 和 Log Analytics 代理（也称为 Microsoft Monitoring Agent (MMA)）将在 Defender for Servers 中逐步淘汰，因此，依赖于这些代理的建议将删除，如下所示。 Defender for Servers 功能将使用 Microsoft Defender for Endpoint 代理或无代理扫描，不再依赖于 MMA 或 AMA。

预计弃用时间：2024 年 7 月。

严重性：高

应在计算机上安装系统更新

说明：安装缺少的系统安全性和关键更新来保护 Windows 和 Linux 虚拟机和计算机（相关策略：应在计算机上安装系统更新）。

预计弃用时间：2024 年 7 月。

严重性：高

应在计算机上安装系统更新（由更新中心提供技术支持）

说明：计算机缺少系统、安全和关键更新。软件更新通常包括安全漏洞的关键补丁。恶意软件攻击中经常会利用这些漏洞，因此保持软件更新至关重要。若要安装所有重要补丁并保护你的计算机，请遵循修正步骤。（无相关策略）

严重性：高

虚拟机和虚拟机规模集应启用主机中加密

说明：使用主机加密可对虚拟机和虚拟机规模集数据进行端到端加密。主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。启用主机中加密后，将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密，具体取决于在磁盘中选择的加密类型。有关详细信息，使用 Azure 门户通过主机加密来启用端到端加密。（相关策略：虚拟机和虚拟机规模集应启用主机加密）。

严重性：中等

应将虚拟机迁移到新的 Azure 资源管理器资源

说明：虚拟机（经典）已弃用，这些 VM 应迁移到 Azure 资源管理器。由于 Azure 资源管理器现具有完整的 IaaS 功能和其他改进，因此我们在 2020 年 2 月 28 日弃用了通过 Azure Service Manager (ASM) 管理 IaaS 虚拟机 (VM) 的功能。此功能将于 2023 年 3 月 1 日完全停用。

若要查看所有受影响的经典 VM，请确保在“目录 + 订阅”选项卡下选择所有 Azure 订阅。

有关此工具和迁移的可用资源和信息：虚拟机（经典）弃用概述，迁移的分步过程和可用的 Microsoft 资源。有关迁移到 Azure 资源管理器迁移工具的详细信息。使用 PowerShell 迁移到 Azure 资源管理器迁移工具。（相关策略：应将虚拟机迁移到新的 Azure 资源管理器资源）。

严重性：高